Hva er ARP Spoofing?Teknikken ARP Spoofing Den består i utgangspunktet av å utnytte et design -sårbarhet i ARP -protokollen og implementering av ARP -cache i vertene.
På nettverkslaget (ISO / OSI) er kilde- og destinasjonssystemene godt definert av IP -adressene, men på koblingslagnivå er det nødvendig å bestemme MAC -adressene til hver vert.
ARP (RFC 826) er en adresseoversettelsesprotokoll mellom to forskjellige adresseringsordninger, slik det er mellom IP -protokollen og MAC -protokollen. I utgangspunktet er dens funksjon i et Ethernet -nettverk å bestemme MAC -adressen til en stasjon gitt dens IP -adresse. Oversettelsen utføres gjennom en utveksling av spørringsmeldinger og ARP -svar.
Den grunnleggende mekanismen fungerer ved å sende en 28-byte melding til kringkastingsadressen, og bare riktig vert svarer direkte til avsenderen av spørringen.
For at ARP -spørringen skal nå alle enheter, er destinasjons -MAC -adressen FF: FF: FF: FF: FF: FF (A.K.A. Broadcast MAC -adresse) spesifisert. Når en bryter mottar en ramme bestemt for FF: FF: FF: FF: FF: FF, fortsetter den å videresende rammen gjennom alle andre porter (intensjonen er at alle verter "lytter" til spørsmålet).
FORSTØRRE
Svaret som oppnås brukes til å bestemme destinasjons -MAC -adressen, og dermed kan overføringen begynne.
FORSTØRRE
Det oppnådde IP-MAC-forholdet blir midlertidig lagret i en tabell med ARP-oppføringer (ARP-cache) på en slik måte at hvis Bob prøver å sende data til Alice igjen i fremtiden, er alt han trenger å gjøre å konsultere ARP-buffertabellen for å bestemme Alice's MAC. trenger ikke å "spørre igjen".
Avhengig av operativsystemimplementering kan disse ARP -hurtigbufferoppføringene oppdateres basert på siste bruk, sist gang MAC -adressen ble "observert", og så videre. De kan også settes statisk, ved manuell konfigurasjon.
I alle tilfeller validerer ikke ARP -protokollen dataene som er oppnådd i ARP -svaret, det vil si at hvis Bob mottar et ARP -svar som indikerer at en viss MAC er bundet til Alice's IP, vil Bob godta informasjonen "uten å nøle". Du har lov til å sende ARP -svar uten et tidligere spørsmål, og kalles "gratis ARP" -meldinger. Disse meldingene vil bli brukt av systemene som mottar dem til å oppdatere informasjonen i ARP -buffertabellen.
En angriper kan bevisst sende ARP -svar uten et forhåndsspørsmål ("gratis arp"), og oppgi at hans egen MAC tilsvarer Alices IP, og Bob vil godta disse svarene som "informasjon i siste øyeblikk", og fortsette å oppdatere oppføringen i ARP buffertabell for Alice's IP med angriperens MAC.
ARP Spoofing-teknikken består i å sende feil informasjon om MAC-IP-oversettelsen; Når Bob bruker denne falske informasjonen til å oppdatere sin ARP -cache, oppstår en ARP -forgif.webptningssituasjon (ARP -forgif.webptning).
Denne situasjonen vil føre til at rammene som Bob sender til Alice's IP, blir levert av bryteren til angriperens port (husk at bryteren ser på MAC -er).
Hvis angriperen bruker den samme teknikken til Alice, og overbeviser Alice om at angriperens MAC -adresse tilsvarer Bobs IP -adresse, så har angriperen overbevist Bob om at han er Alice og Alice om at han er Bob, og oppnår en mellomsituasjon (Man in the Midten).
Det vil være angriperens ansvar å videresende rammene til hvert system for å holde trafikken aktiv og unngå kommunikasjonsproblemer i det øvre laget. I tillegg kan angriperen inspisere trafikken, innhente sensitive data, manipulere informasjon osv.
Systemer involvert
Systemer for bruk for testingBob AA: BB: CC: 11: 22: 33 (192.168.0.1/24)
Alice AA: BB: CC: 22: 33: 44 (192.168.0.2/24)
Angriper AA: BB: CC: 88: 88: 88 (192.168.0.3/24)
For angrepssystemet vil det bli brukt GNU / Linux Ubuntu og for ofrene vil jeg bruke Windows XP SP3, men offerets operativsystem spiller egentlig ingen rolle. For det første må et verktøy som lar ARP Spoofing -meldinger sendes til ofre brukes til å teste ARP -forgif.webptning. For denne opplæringen vil jeg bruke "dsniff", som i utgangspunktet er et verktøykasse for sniffing av passord.
Blant verktøyene som er inkludert i dsniff pakke, den er funnet "arpspoof”, Som i utgangspunktet utfører ARP Spoofing på det angitte offeret.
Til installer dsniff skriv inn en terminal:
$ sudo apt-get install dsniffMed det installerer du det.
Analyse før angrep
I det første øyeblikket har Bob en oppføring i ARP -bufferen som indikerer at Alices IP -adresse tilsvarer MAC AA: BB: CC: 22: 33: 44.
For å se ARP -buffertabellen, gå til:
- Start
- Løpe
- cmd
I Windows -terminalen skriver du:
Stort teltDu får det nåværende innholdet i Bobs ARP -buffertabell:
På samme måte på Alice's PC:
Angrep
I første omgang, videresending bit i Attacker -systemet:
# echo 1> / proc / sys / net / ipv4 / ip_forwardPå denne måten unngås pakketap, Bob og Alice vil kunne samhandle som om ingenting skjedde.
De arpspoof -kommando brukes som følger:
# arpspoof -i INTERFAZ_LAN -t IP_VICTIMA_POISONING IP_VICTIMA_SPOOFEDHvor fra:
INTERFAZ_LANNettverkskort som vi skal bruke for angrepet, MAC -adressen til det grensesnittet vil bli tatt for ARP Spoofing -meldingene.
IP_VICTIMA_POISONINGDet er IP -adressen til offeret hvis ARP -buffertabell blir forgif.webptet.
IP_VICTIMA_SPOOFEDDet er IP -adressen som angir oppføringen i offerets ARP -buffertabell som angriperens MAC vil bli knyttet til.
For å overbevise Alice om at Bob har MAC AA: BB: CC: 88: 88: 88, kjører arpspoof på Attacker -systemterminalen som følger:
# arpspoof -i eth0 -t 192.168.0.2 192.168.0.1ARP -svarmeldinger blir sendt til Alice med manipulert informasjon:
Start en annen terminal (den forrige skal ikke avbrytes) og utfør angrepet i motsatt retning, for å overbevise Bob om at Alice har MAC AA: BB: CC: 88: 88: 88, i Attacker -systemterminalen utfør arpspoof som følger :
# arpspoof -i eth0 -t 192.168.0.1 192.168.0.2ARP -svarmeldinger blir sendt til Bob med manipulert informasjon:
Fra dette tidspunktet opprettholder angriperen statusen til en mellommann (MitM) ved å sende manipulerte ARP -meldinger:
FORSTØRRE
Ved å gjenta de første trinnene er det mulig å sjekke hvordan Bobs og Alices ARP -hurtigbufferoppføringer har blitt oppdatert med Angriperens MAC:
Bobs ARP -cache:
Alice's ARP -cache:
Rammer som Bob sender til Alice blir levert til angriperen og angriperen videresender dem til Alice. På samme måte blir rammene sendt av Alice levert til angriperen, og han videresender dem til Bob.
FORSTØRRE
Angriperen kan fange trafikk med sitt nettverkskort i promiskuøs modus og for eksempel få tilgang til legitimasjon til en webportal som ikke bruker SSL.
For eksempel, i følgende trafikkfangst, har en angriper fått tilgangsinformasjonen til en PHPMyAdmin -portal: (Bruker "root", passord "ad00")
FORSTØRRE
Til slutt, for å lukke angrepet uten å avbryte kommunikasjonen, stopper angriperen "arpspoof" -terminalen ved å trykke på tastene:
Ctrl + C
Og verktøyet sender automatisk ARP -forespørsler til hvert offer slik at ARP -hurtigbufferinformasjonen oppdateres med riktige data.
På dette tidspunktet slipper angriperen kommunikasjon og kan koble seg fra nettverket for å analysere trafikken som allerede er oppnådd.
Noen antivirus -systemer overvåker endringene av oppføringer i ARP -buffertabellen, selv for GNU / Linux er det et verktøy som heter "ARPWatch”Det varsler om en endring i ARP-IP-forholdet i systemets ARP-buffertabeller.
I en annen artikkel, mulige teknikker for å forhindre MitM -angrep basert på ARP Spoofing og ARP Poisoning.
Likte og hjalp du denne opplæringen?Du kan belønne forfatteren ved å trykke på denne knappen for å gi ham et positivt poeng
